Professional Documents
Culture Documents
INDICE
Dedicatoria......................................................................................2
SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER........3
PLANEACION DE LA AUDITORIA INFORMATICA....................................5
1.1. ORIGEN DE LA AUDITORIA:................................................................6
1.2. OBJETIVO GENERAL............................................................................. 6
1.3. OBJETIVOS ESPECIFICOS....................................................................6
1.4. ANTECEDENTES................................................................................... 6
1.5. ENFOQUE A UTILIZAR.........................................................................9
1.6. PERSONAL A CARGO DE AUDITAR.....................................................9
1.7. CRONOGRAMA DE TRABAJO.............................................................10
Diagrama de actividades...........................................................12
Auditoria del hardware..............................................................13
1.8. DOCUMENTOS A SOLICITAR.............................................................14
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER..............................14
1.10.
PRINCIPALES ACTIVIDADES:...............................................14
1.11.
Humanos:....................................................................................15
Materiales:..................................................................................15
Tecnolgicos................................................................................16
1.12.
METODOLOGIA................................................................................ 16
1.13.
ANALISIS FODA...............................................................................18
Dedicatoria
Por este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo
dentro de sus instalaciones, as permitirnos obtener experiencia como auditores
en informtica. Apreciamos la confianza que nos brindaron, brindando todo lo que
necesitbamos para la elaboracin del documento, tiempo, informacin, etc.
49
INTRODUCCIN
procesos,
planteando
mtodos
informacin
que
son
su
y
objetivo
est
procedimientos
validos
para
orientado
de
cualquier
control
a
de
empresa
brindar soluciones,
los sistemas
de
u organizacin por
PLANEACION DE LA AUDITORIA
INFORMATICA
AUDITORIA INFORMATICA
AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.
Pcs.
Verificar
las
disposiciones
reglamentos
que
coadyuven
al
(Instituto
Nacional
de
Estadstica
Informtica),
Normas
JEFE AUDITOR:
JOSE LUIS
UNIVERSIDAD NACIONAL DE MOQUEGUA
CALLACONDO
49
AUDITOR:
ISABEL VILCA QUISPE
AUDITOR:
SHIRLEY MAMANI
ROGRIGUEZ
FASE
ENCARGADOS
ESTIMA
1
Planificar
1.Solicitud
de
manuales
Documentacin
DAS
16-19 de
-Ing. Isabel
diciembr
Vilca Quispe
2.Elaboracion de Cuestionarios
Callacondo
3.Recopilacion de la Informacin
- Ing. Shirley
4.Pistas de auditoria
Mamani
5.Obtencion
para
evidencia
de
Rodrguez
auditoria
6.Reconocimiento
de
factores
Ejecutar
1.Aplicaciones del cuestionario al
Personal
20-27 de
-Ing. Isabel
diciembr
Vilca Quispe
Callacondo
- Ing. Shirley
respaldos
Mamani
3.Evaluacion
relevamiento
software,
de
de
los
sistemas;
hardware
evaluacin
del
Rodrguez
diseo
Evaluacin
de
la
estructura
orgnica de la empresa.
5. Evaluacin del rea informtica
y su flujo de trabajo.
6. Evaluacin de las normas de
seguridad en dicha entidad sobre
posibles riesgos.
7.Evaluacin del proceso de datos
y de los equipos de cmputo:
seguridad de los datos, control de
operacin
seguridad
fsica
procedimientos de respaldos
3
verificar
1.Revision de papeles de trabajo y
solicitud de requerimientos
2.Determinacion
de
27
diciembr
e
diagnstico
-Ing. Isabel
Vilca Quispe
- Ing. Jos Luis
Callacondo
Implicaciones
- Ing. Shirley
Mamani
4.Elaboracion de Borrador(Informe
Rodrguez
Preliminar / Memorando)
Actuar
1.Elaboracion y presentacin del
Informe
2.Seguimiento
28diciembr
e
-Ing. Isabel
Vilca Quispe
- Ing. Jos Luis
Callacondo
- Ing. Shirley
Mamani
Rodrguez
Diagrama de actividades
1.8.
DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
1.9. AUTORIDADES DE LA EMPRESA OLVA CORIER
DIRECTOR
DIRECTOR ADMINISTRATIVO
DIRECTOR GERENTE
- Compra de
bases.
* Iglesias:
comunin.
* Ministerio de educacin:
- Certificado de estudios.
- Compra
de formatos de ttulo.
* Colegios: - Certificado de estudios.
* SUNARP: -Ttulos de propiedad.
propiedad.
- Ttulo vehicular.
- Tarjetas de
Auditor principal.
Asesores.
Materiales:
Tecnolgicos.
Paquete Office.
Internet Speedy 4MB
Telefona
Impresora multifuncional.
Laptops.
1.12. METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a
continuacin:
Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
49
actividades:
o Solicitud de los estudios de viabilidad y caractersticas de los equipos
o
o
o
o
sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Elaboracin de un cuestionario sobre la utilizacin de equipos,
memoria, archivos, unidades de entrada/salida, equipos perifricos y
su seguridad
o Visita tcnica de comprobacin de seguridad fsica y lgica de la
instalaciones de la Direccin de Informtica
o Evaluacin tcnica del sistema electrnico y ambiental de los equipos
y del local utilizado
o Evaluacin de la informacin recopilada, obtencin de grficas,
porcentaje de utilizacin de los equipos y su justificacin
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
Amenazas
o sistemas obsoletos
o falta de mantenimiento a los equipos
o robo de material de trabajo de esta aula
ANLISIS INTERNO
FORTALEZAS
DEBILIDADES
Control de Almacn.
Tratamiento personalizado a
clientes,
orientacin
y
Realizar grandes proyectos en el
asesoramiento.
sector privado y pblico.
Integracin de productos y
Dependencia de los servicios
servicios
buscando
sinergias
subcontratados.
entre ellos.
Sistema
de
Informacin
Innovacin Constante.
Integrado (Compras, ventas,
Almacn y Krdex).
Personal
debidamente
Capacitado y comprometido con
la visin de la Organizacin.
ANLISIS EXTERNO
OPORTUNIDADES
AMENAZAS
EJECUCION DE LA AUDITORIA
INFORMATICA
N TIPO DE
Modelo
N de Serie
Marca
HADWARE
Capa
cidad/
Tama
1
2
3
4
Toshiba
o
300G
N82E1682213
Western
B
80GB
VT
6314
Digital
6L080M0
WD10EADS
72N6L080M0
WD10EADS12
IBM
Western
80GB
160G
3HKZ3
Digital
AMD
2.0gh
Intel
z
3.0Gh
E-HDD
MK3200GA
E-HDD
H
WD5000BE
E-HDD
E-HDD
MK3200KHK
o
Desktop/Estaci
urion
Clone/Intel
M20
Intel Grand i8
on 1
P IV Intel
65PE
Desktop/Estaci
Clone/Intel
Intel Grand i8
on 2
P IV Intel
65PE
Desktop/Server
Clone/Intel
Intel dg41rq
P IV
Rack/Server 2
DellPowerE
z
Intel
0
1
2.8G
Hz
Intel
1.8G
Hz
Intel
dgeR310
1
Tipos de
hardware
2.6G
Hz
KVM
KVMDUAL2
200098X87UH
HP
2PCs
LCD
X754
HPL19540
DK
LKJNHLCD19K
HP
19
DELL
17"
1
1
LCD
DLAV17YH
N
009768BJHD
2
1
LCD
KHLN79191
23409087NHY
DELL
17"
3
1
LCD
7KJB
HBJ15JJR
LKJHN
BB15NJKB
DELL
17"
4
1
LCD
KHSD15JHK
UNIVERSIDAD
NDOUOAD187
HP NACIONAL
19"DE MOQUEGUA
5 49
1
Mouse Laser 1
KHHKLOGM
9
JJBJJNLOG
6
1
B
KHHKLOGM
JJBJJNLOG
MouseLaser2
Logitech
Logitech
Aplicaciones de software
N
Aplicaciones
Ubicacin
Contr
ol
1
Office2010
Office2007
Microsoft Office
XP
Iwork
Neo Office
Microsoft Office
MAC 2008
AVG Anti-Virus
NOD32
10
Descripcin
ad
Open Office 3.3
Cantid
Avast Antivirus
11
Kaspersky Anti-
12
Virus
Avira AntiVir
13
Adobe CS5
14
FullSuite
Adobe CS4
FullSuite
CD case 1
CD Case 1
CD Case 1
CD Case2
CD Case 1
CD Case 2
CD Case2
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
CD Case 3
Aplicacin Ofimtica
Libre
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin Ofimtica
Sin licencia
Aplicacin de
seguridad FreeWare
2Aplicacin de
seguridad FreeWare
Aplicacin Diseo Sin l
icencia
Aplicacin Diseo Sin l
icencia
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
15
Adobe CS3
16
FullSuite
SD Fix malware
CD Case 3
CD Case 3
icencia
Aplicacion
antimalware Freeware
17
Flash
18
Disinfector
Malware bytes
19
Windows Seven
20
Mac OS X
CD Case 3
Aplicacin anti
malwareFreeware
aplicacin
CD Case 3
antimalwareFreeware
aplicacin sin licencia
CD Case 3
CD Case 3
AUDITORA FSICA
ALCANCE
Esta auditora fue aplicada en todas las reas que se encuentran en
ejecucin (Coordinacin, Administracin, recepcin ) las mismas que operan
en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran
los equipos de cmputo con los que dispone la empresa, y en donde se
evaluar:
OBJETIVOS
los equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en
el ambiente
Verificar la
instalaciones
Revisin de polticas y normas sobre seguridad Fsica de los medios, como
son:
Edifico,
seguridad
del
personal,
datos,
hardware, software e
Personas.
Verificar si la seleccin de equipos y Sistemas de computacin es
adecuada.
DESARROLLO DE LA AUDITORA
SEGURIDAD FSICA
Ubicacin de la Oficina Central/Oficina administrativa
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
Administracin y servicios.
Adems, all se encuentra almacenada toda la documentacin concerniente
que
proteja
el
acceso
(Malla
a personas no autorizadas y
malintencionadas.
Seguridad General
los accesos
verificar
que
Plan de Contingencia
De acuerdo con el Inventario de Documentos realizado en la empresa;
los
Puesto
que
se
trata
de
un
ambiente
relativamente
pequeo,
no
accesos
es
son
personal
que
labora
en
la
empresa
cuenta
sido
con
los conocimientos
seleccionados
de
una
ENCUESTA:
1. Se
han
adoptado medidas
de
seguridad en
el
departamento de
sistemas de informacin?
2. Existe
una persona
responsable
de
la
seguridad?
3. Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
4. Existe
personal
de
vigilancia
en
la
institucin?
de
energa
estn debidamente
24.
terminales
conectadas,
se
ha
establecido
procedimientos de operacin?
36.
Se ha establecido que informacin puede ser acezada y por qu
persona?
AUDITORIA OFIMATICA
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
ALCANCE
La auditoria Ofimtica fue aplicada en todas las reas que se encuentran en
aplicacin (coordinacin, administracin, unidad de investigacin, unidad de
semillas, y unidad de capacitacin), las mismas que operan en la oficina
principal
rea de informtica
Los puntos que se tomarn son, Revisin de: inventario, polticas de
mantenimiento, licencias, desempeo del software existente, seguridad de la
data.
OBJETIVOS
organizacin
Verificar el desempeo del software empleado en la institucin
Verificar la legalizacin del software utilizado.
Verificar la seguridad en la data
DESARROLLO DE LA AUDITORA
Todas las opiniones profesionales vertidas en este documento estn
respaldadas por las entrevistas, inventarios y observaciones realizadas
durante las visitas a la Institucin.
INVENTARIO
De acuerdo a la investigacin realizada por la consultora de Auditores, la
empresa OLVA COURIER., so cuenta con un inventario, la cual si saben con
exactitud con cuantos equipos de hardware/software cuentan.
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
MANTENIMIENTO
La empresa OLVA COURIER no cuenta con una poltica de mantenimiento
preventivo de sus equipos, se hace mantenimiento solo y cada vez que
estos empiezan a fallar.
SISTEMAS - NECESIDADES
Actualmente existen dos aplicaciones en red que son:
Sistema de envio , Sistema comercial pero dichas aplicaciones son
utilizados actualmente. Adems cabe recalcar que algunos accesorios de
cmputo no se utilizan a cabalidad como por
ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y
cada uno de ellos posee una quemadora y lectora, pero estos
accesorios se utilizan con poca frecuencia.
LICENCIAMIENTO
Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas
cuentan con licencias, el resto ninguno de ellos cuentan con licencia, esto
puede ser perjudicable para la empresa ya que puede haber fuertes
sanciones por el uso ilegal
APLICACIONES INSTALADAS
No existe un control del software que los trabajadores puedan descargar
de Internet y el uso que le den a los mismos, de igual forma de software
no licenciado que puedan instalar en los equipos.
COPIAS DE SEGURIDAD
La empresa OLVA COURIER no realizan copias deseguridad (backup) de
sus datos, ya que ante un desastre fsico (robo, hurto) o lgico (virus) se
pierde toda la data, pero realizan un descargo a lima diariamente.
ENCUESTAS:
1. Existe un informe tcnico en el que se justifique la adquisicin del
equipo, software y servicios de computacin, incluyendo un estudio costo
beneficio?
2. Existe un comit que coordine y se responsabilice de todo el proceso de
adquisicin e instalacin?
17.
AUDITORIA DE REDES
ALCANCE
La auditoria de redes fue
aplicada en todas las reas que
se
encuentran en aplicacin
(coordinacin, administracin,
unidad de investigacin, unidad de semillas, y unidad de capacitacin), las
mismas que operan en la oficina principal (oficina administrativa)
Los puntos a tomar en cuenta sern los siguientes:
Organizacin y calificacin del tendido de red.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
OBJETIVOS
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para
REFERENCIA LEGAL
Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD
2177/96)
ENCUESTAS
1. La gerencia de redes tiene una poltica definida de planeamiento de
tecnologa de red?
2. Esta poltica es acorde con el plan de calidad de la organizacin
3. La gerencia de redes tiene un plan que permite modificar en forma oportuna
el plan a largo plazo de tecnologa de redes , teniendo en cuenta los
posibles cambios tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a las redes de datos?
5. Existe un plan de infraestructura de redes?
6. El plan de compras de hardware y software para el sector redes est de
acuerdo con el plan de infraestructura de redes?
7. La responsabilidad operativa de las redes esta separada de las de
operaciones del computador?
8. Estn establecidos controles especiales para salvaguardar la
confidencialidad e integridad del procesamiento de los datos que pasan a
travs de redes pblicas, y para proteger los sistemas conectados
9. Existen controles especiales para mantener la disponibilidad de los servicios
de red y computadoras conectadas?
10.
Existen controles y procedimientos de gestin para proteger el acceso
a las conexiones y servicios de red.?
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
11.
12.
13.
Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo,
la cual es recomendable para la transferencia adecuada de los datos.
D.- Modelo OSI, capa de Red.
Capa de Red: Establece las rutas por las cuales se puede comunicar el
emisor con el receptor, lo que se realiza mediante el envo de
paquetes de informacin.
En la institucin si utilizan los siguientes componentes:
49
ENCUESTA
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
17. Se registran como parte del inventario las nuevas cintas magnticas que
recibe el centro de computo?
18. Se tiene un responsable del SGBD?
19. Se realizan auditorias peridicas a los medios de almacenamiento?
20. Se tiene relacin del personal autorizado para manipular la BD?
21. Se lleva control sobre los archivos trasmitidos por el sistema?
22. Existe un programa de mantenimiento preventivo para el dispositivo del
SGBD?
23. Existen integridad de los componentes y de seguridad de datos?
24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema
de cmputo, existe equipo capacesque soportar el trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
27. La capacidad de almacenamiento mximo de la BD es suficiente para
atender el proceso por lotes y el proceso remoto?
INFORME ESPECFICO
1. Ttulo
Auditoria Fsica
2. Cliente
rea de informtica
3. Entidad Auditada
Empresa OLVA COURIER
4. Objetivos
49
equipos.
Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente
Verificar si la seleccin de equipos y Sistemas de computacin es
adecuada.
la
Institucin, segn
las
normativas
Resultados
instalaciones
en
cuanto
la misma sede
Identificacin de Salidas, favorable con algunas salvedades como el
tomado
como estacionamiento de camionetas de la sede.
Seguridad ante Incendios, Desfavorable
Seguridad
elctrica, favorable con salvedades;
falta
organizacin en el cableado.
Verificar la seguridad de informacin.
El ambiente principal se encuentra toda la documentacin fsica de la
disquete u otros
dispositivosde almacenamiento,
como CD,
disponibilidad en el ambiente
Aspecto desfavorable, debido a que el ambiente es pequeo, y no se
cuenta con la seguridad debida.
Verificar si
es adecuada.
Desfavorable, puesto
que
todas las
computadoras,
9. Recomendaciones
FECHA DE TERMINO
26-12-13
--------------------------------
--------------------------------
AUDITORA INFORMATICA
Rodrguez
AUDITORA INFORMATICA
INFORME FINAL
1. Identificacin del informe
Auditoria de la Ofimtica
2. Identificacin del Cliente
El rea de Informtica
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
informticos.
Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
5. Normativa aplicada y excepciones
Para esta auditora se toman en cuenta la norma ISO 17799 y Normas de
Auditorias Gubernamentales: Normas de Control Interno para sistemas
computarizados (NAGU 500).
6. Hallazgos Potenciales
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimtica.
Carece de seguridad en Acceso restringido de los equipos ofimticos y
software.
7. Alcance de la auditoria
de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la
organizacin, el cual no es explotado en su totalidad por falta de personal
capacitado.
9. Resultados
Revisin del inventario de los accesorios de cmputo
FECHA DE TERMINO
29-12-13
----------------------------
---------------------------
----------------------------
Callacondo
Quispe
Rodrguez
JEFE DE AUDITORIA
AUDITORA
AUDITORA
INFORMTICA
INFORMATICA
INFORMATICA
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria del Sistema de Redes
2. Identificacin del Cliente
El rea de Informtica
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicacin, para
8. Resultados
habitaciones cerradas
La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
inadecuada.
Cualquier persona tiene acceso ya que se encuentra cerca de un lugar
transitable
proteccin y tendido adecuado de cables y lneas de
comunicacin, para evitar accesos fsicos
Los cables de comunicacin de datos, elctrios y de telfono estn
personas no autorizadas
No se realiza revisiones preventivas a la red de comunicaciones
Revisar las polticas y normas sobre redes y el funcionamiento de
la red y la seguridad de los datos dentro de la Red Lan
No existen polticas y/o normas para regular el uso de la red de dicha
empresa
La red funciona correctamente de acuerdo al tamao de la empresa;
FECHA DE TERMINO
26-12-13
--------------------------------
--------------------------------
--------------------------------
Callacondo
JEFE DE AUDITORIA
AUDITORA INFORMATICA
INFORMTICA
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria de Base de Datos.
2. Identificacin del Cliente
El rea de Informtica
3. Identificacin de la Entidad Auditada
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
OLVA COURIER
4. Objetivos
Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que
trabaja, llaves, administracin y dems aspectos que repercuten en su trabajo.
Datos.
Verificar la actualizacin de la Base de Datos.
Verificar la optimizacin de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la base de datos.
5. Hallazgos Potenciales
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado
especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
7. Conclusiones:
FECHA DE TERMINO
26-12-13
--------------------------------
JEFE DE AUDITORIA
--------------------------------
INFORMTICA
Callacondo
AUDITORA INFORMATICA
--------------------------------
Rodrguez
AUDITORA INFORMATICA
ACLARACION DE LA SOLICITUD
OLVA COURIER S.A
Ilo, 28 de Diciembre del 2013
Seores
OLVA COURIER S.A
De nuestra consideracin:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin
el alcance del trabajo de Auditora del rea de Informtica practicada los das 1628 del corriente, sobre la base del anlisis y procedimientos detallados de todas
las informaciones recopiladas y emitidos en el presente informe, que a nuestro
criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones
Auditoria fsica
Auditoria ofimtica
Auditoria de sistema de redes
Auditoria de base de datos
El contenido del informe ha sido dividido de la siguiente forma a efectos de
facilitar su anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se
encuentran expuestos las operaciones realizadas por la Cooperativa.
2 .OBSERVACIONES
FORMATO DE OSERVACIONES
Nombre
de
empresa
Observacin
SITUACION
EFECTOS
IMPLICANCIA
Y/0
No existe una
vigilancia estricta
del
rea
de
Informtica
por
personal
de
seguridad dedicado
a este sector.
No
existe
detectores,
ni
extintores
automticos.
Existe material
altamente
inflamable.
Probable
difusin de datos
confidenciales.
Alta facilidad
para
cambios
involuntarios
o
intencionales de
datos, debido a la
falta de controles
internos.
Debido a la
debilidad
del
servicio
de
mantenimiento
SUGERENCIA
INDICE DE
IMPORTANCI
A
ESTABLECID
A
0 ( cero )
Carencia de un
estudio
de
vulnerabilidad,
frente a las riesgos
fsicos o no
fsicos, incluyendo
el
riesgo
Informtico.
No existe un
puesto
o
cargo
especfico para la
funcin
de
seguridad
Informtica
del
equipo
central,
la
continuidad de las
actividades
informticas
podran
verse
seriamente
afectadas
ante
eventuales
roturas
y/o
desperfectos
de
los sistemas.
inflamables.
Determinar
orgnicamente la funcin
de seguridad.
Realizar peridicamente
un
estudio
de
vulnerabilidad,
documentando
efectivamente el mismo, a
los efectos de implementar
las acciones correctivas
sobre los puntos dbiles
que se detecten.
FORMATO DE OSERVACIONES
Nombre
empresa
Observacin
SITUACION
Existe
rutina
trabajo
de
EFECTOS
IMPLICANCIA
Y/0 SUGERENCIA
INDICE DE
IMPORTANCI
A
ESTABLECID
A
una La Empresa Olva Desarrollar normas 0 ( cero )
de Courier
est y
procedimientos
de expuesta a la perdida generales
que
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
de informacin por
no
poseer
un
chequeo sistemtico
peridico
de
los
back-up's, y que los
mismas se exponen
a
riesgo
por
encontrarse en poder
del
auxiliar
de
informtica.
permitan la toma de
respaldo necesarios,
utilitario a utilizar.
Realizar 3 copias
de
respaldos
de
datos en Zip de las
cuales,
una
se
encuentre
en
el
recinto del rea de
informtica, otra en
la
sucursal
ms
cercana y la ltima
en poder del Jefe de
rea.
Implementar
pruebas sistemticas
semanales de las
copias y distribucin
de las mismas.
FORMATO DE OSERVACIONES
Nombre
de
empresa
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
Observacin
Acceso a Usuarios
SITUACION
EFECTOS
IMPLICANCIA
De acuerdo a lo
relevado
hemos
constatado que:
Existen niveles de
acceso
permitidos,
los
cuales
son
establecidos
conforme
a
la
funcin que
Cumple cada uno de
los usuarios.
Los
usuarios
definidos al rotar o
retirarse del local no
son borrados de los
perfiles de acceso.
Las terminales en
uso y dado un cierto
tipo de inactividad
no salen del sistema.
El
sistema
informtico
no
solicita al usuario, el
cambio del Password
en forma mensual.
Existe
la
imposibilidad de
establecer
responsabilidades
dado que esta se
encuentra
dividida entre el
rea de sistema y
los
usuarios
finales.
La falta de
seguridad en la
utilizacin de los
Password,
podran ocasionar
fraudes
por
terceros.
Y/0 SUGERENCIA
INDICE DE
IMPORTANCI
A
ESTABLECID
A
Implementar 2 ( dos )
algn software de
seguridad
y
auditoria existente
en el mercado o
desarrollar
uno
propio.
Establecer una
metodologa
que
permita ejercer un
control
efectivo
sobre el uso o
modificacin de los
programas
o
archivos
por
el
personal autorizado.
FORMATO DE OSERVACIONES
Nombre de la empresa
Observacin
SITUACION
INDICE DE
IMPORTANCI
A
ESTABLECID
A
Ausencia de un Plan Prdida de Establecer un plan 1 ( uno)
de
Contingencia informacin
de
contingencia
debidamente
vital.
escrito, en donde se
formalizado en el rea Prdida de establezcan
los
de Informtica.
la capacidad procedimientos
No existen normas y de
manuales
e
procedimientos
que procesamient informticos
para
indiquen
las
tareas o.
restablecer
la
manuales e informticas
operatoria
normal
que son necesarias para
de la Empresa y
realizar y recuperar la
establecer
los
capacidad
de
responsables
de
procesamiento ante una
cada sistema.
eventual
contingencia
Efectuar pruebas
(
desperfectos
de
simuladas en forma
equipos,
incendios,
peridica, a efectos
cortes de energa con
de monitorear el
ms de una hora ), y
desempeo de los
que
determinen
los
Funcionarios
niveles de participacin
responsables ante
y responsabilidades del
eventuales
rea de sistemas y de
desastres.
los
Establecer
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
Usuarios.
No existen acuerdos
formalizados de Centro
de Cmputos paralelos
con otras empresas o
proveedores
que
permitan la restauracin
inmediata
de
los
servicios informticos de
la empresa en tiempo
oportuno, en caso de
contingencia.
convenios
bilaterales
con
empresas
o
proveedores a los
efectos de asegurar
los
equipos
necesarios
para
sustentar
la
continuidad
del
procesamiento.
FORMATO DE OSERVACIONES
Nombre
de
empresa
Observacin
SITUACION
EFECTOS
IMPLICANCIA
Y/0 SUGERENCIA
No
existe
documentaciones
tcnicas
del
sistema integrado
de la Entidad y
tampoco no existe
un
control
o
registro formal de
las modificaciones
La
escasa
documentacin
tcnica de cada
sistema dificulta la
compresin de las
normas,
demandando
tiempos
considerables para
INDICE DE
IMPORTANCI
A
ESTABLECID
A
Elaborar toda la 1 ( uno)
documentacin
tcnica
correspondiente
a
los
sistemas
implementados
y
establecer normas y
procedimientos
para los desarrollos
efectuadas.
No se cuenta
con un Software
que permita la
seguridad de las
libreras de los
programas y la
restriccin
y/o
control del acceso
de los mismos.
Las
modificaciones a
los programas son
solicitadas
generalmente sin
notas internas, en
donde
se
describen
los
cambios
o
modificaciones
que se requieren.
su mantenimiento e
imposibilitando
la
capacitacin
del
personal nuevo en
el rea.
Se incrementa
an
ms
la
posibilidad
de
producir
modificaciones
errneas
y/o
no
autorizadas a los
programas
o
archivos y que las
mismas no sean
detectadas
en
forma oportuna.
y su actualizacin.
Evaluar
e
implementar
un
software
que
permita mantener
el
resguardo
de
acceso
de
los
archivos
de
programas y an de
los programadores.
Implementar y
conservar todas las
documentaciones
de prueba de los
sistemas, como as
tambin
las
modificaciones
y
aprobaciones
de
programas
realizadas por los
usuarios
FORMATO DE OSERVACIONES
Nombre
de
empresa
Observacin
rea Informtica
N SITUACION
EFECTOS
IMPLICANCIA
Y/0 SUGERENCIA
INDICE
DE
IMPORTANCI
A
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
ESTABLECID
1
No
existe
validacin
de
A
Implementar 0 (cero )
se debidamente
donde encuentra
controles
los
cuenta
debera
entre adecuado
ellos:
internos
manejo
del
ocurran Implementar un
por
la sistema de respaldo
de de
inventario
de
envos
en Alto riesgo de
el
usuario
final
pueda
incurrir
en
cambios
no
autorizados
en
que
usuario
tiene
irrestricto
el
final
acceso
al
mismo.
FORMATO DE OSERVACIONES
Nombre
de
empresa
Observacin
Auditoria de sistema
SITUACION
EFECTOS
Y/0 SUGERENCIA
INDICE
IMPLICANCIA
DE
IMPORTANCI
A
ESTABLECID
A
Establecer 0 ( cero )
normas
no
procedimientos
cuenta
auditora
con adulteraciones
voluntarias
o en
los
que
se
fijen
formales
periodicidad y
establezcan
responsables,
frecuencias
y datos
los
efectuar archivos
revisiones
de
los datos,
archivos
de
auditoria
que
de pudieran
existir
como
de
asimismo,
de
de todos
los
accesos
a componentes
de
pudiera
servir
de datos
auditoria
los
confidenciales
sistemas
de
aplicacin.
no
sean
detectadas
oportunamente.
internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la
continuidad de las
actividades informticas
podran
verse
seriamente
afectadas
ante
-Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el
ingreso al rea de Informtica.
Colocar detectores y extintores de incendios automticos en los lugares
necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando
efectivamente el mismo, a los efectos de implementar las acciones
correctivas sobre los puntos dbiles que se detecten.
A2.Auditora de Sistema
-Situacin
Hemos observado que la Empresa Olva Courier no cuenta con auditora
Informtica, ni con polticas formales que establezcan responsables,
frecuencias y metodologa a seguir para efectuar revisiones de los archivos
de auditora.
Cabe destacar que el sistema integrado posee un archivo que pudiera servir
de auditoria Informtica, el cual no es habilitado por falta de espacio en el
disco duro.
-Efectos y/o implicancias probables
Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas
a los elementos componentes del procesamiento de datos (programas,
archivos de datos, definiciones de seguridad de acceso, etc.) o bien accesos
a datos confidenciales por personas no autorizadas que no sean detectadas
oportunamente.
-Sugerencias
Establecer normas y procedimientos en los que se fijen responsables,
periodicidad y metodologa de control de todos los archivos de auditoria
que pudieran existir como asimismo, de todos los elementos componentes
de los sistemas de aplicacin.
A.3. Operaciones de Respaldo
-Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en
Cuadernos y USB, que se encuentra en el recinto del centro de cmputos,
en poder del auxiliar de informtica.
existe
documentaciones
tcnicas
del
sistema
integrado
de
la
como
as
tambin
las
modificaciones
aprobaciones
de
4. AUTOMATIZACION DE PROCESOS
5. CONCLUSIONES
La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se
puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un
elemento del que se compone, trae consigo un efecto domino, que hace que los
dems elementos bajen su rendimiento, o en el peor de los casos sean causantes
del fracaso de la institucin.
El factor humano es lo ms importante, ya que si se cuenta con tecnologa de
punta, pero con personal no calificado o en desacuerdo con el desarrollo del
Centro de Computo optara por renunciar, o bien por seguir rezagando al mismo
Asimismo la capacitacin es importantsima, ya que si no hay capacitacin
permanente, el personal tcnico de la empresa decide abandonarla para buscar
nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las
lneas de mando deben estar bien definidas, evitando de esta manera la rotacin
innecesaria de personal, la duplicidad de funciones, las lneas alternas demando,
etc. y que conllevan al desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las
instalaciones, as como de la informacin, el control de los accesos tambin es
punto fundamental para evitar las fugas de informacin o manipulacin indebida
de esta.
El Departamento de informtica es la parte medular de la empresa, es en donde
los datos se convierten en informacin til a las diferentes reas, es donde se
guarda esta informacin y por consecuencia, donde en la mayora de los casos se
toman las decisiones importantes para la empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del
ambiente empresarial es de vital importancia contar con la informacin lo ms
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores
para que se constituya en una herramienta poderosa para la toma de decisiones,
vindose reflejada en la obtencin de resultados benficos a los fines de la
organizacin y justificar el existir de toda la organizacin o empresa.
Como resultado de la Auditoria Informtica realizada a la empresa OLVA
COURIER, por el perodo comprendido entre 19-28 de Diciembre del 2013
podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos
contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias en:
Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y
seguros que nuestra funcin de auditores est funcionando como se debe, y saber
que cuando se siguen estos lineamientos se obtendrn sistemas que no van a
necesitar mantenimiento excesivo, que el cmputo va a ser parte de la solucin y
no parte del problema, como lo es hoy en da.
6. FIRMAS
Elaborado por
Jos
Revisado por:
Luis Isabel Vilca Quispe
Callacondo
Autorizado por:
Shirley
Mamani
Rodrguez
Firma
Firma
Firma
RECOMENDACIONES
CONSEJOS
1. Utiliza un buen antivirus y actualzalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de
nuevos
virus y servicios de alerta.
3. Asegrate de que tu antivirus est siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de
noticias
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu
ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.
11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a
tu
poltica de proteccin antivirus.
12. Realiza peridicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y
editores de
publicaciones, que se impliquen en la lucha contra los virus
BIBLIOGRAFIA
http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html}
http://anaranjo.galeon.com/conceptos.htm
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/
http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-
de-auditoria.html
http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html
ANEXOS
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
A. Cuestionario de
Auditora correspondiente
al funcionamiento
NO ( )
SI ( )
NO ( )
NO ( )
UNIVERSIDAD NACIONAL DE MOQUEGUA
49
NO ( )
NO ( )
NO ( )
Existen
controles
la disponibilidad de los
___________________________________________________________________________________
___________________________________________________________________________________
_____________________________________________________
Existen
controles
procedimientos
de
gestin
para proteger el
FOTOS
PREGUNTAS A. FISICA
SI
NO
X
X
X
X
X
N/A
SI NO N/A
25. Se ha prohibido a los operadores el consumo de alimentos y bebidas X en
interior del departamento de cmputo para evitar daos al equipo?
26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si X
Existe?
27. Se cuenta con copias de los archivos en lugar distinto al de la
Computadora?
28. Se tienen establecidos procedimientos de actualizacin a estas
Copias?
29. Existe departamento de auditoria interna en la institucin?
X
30. Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
31. Se cumplen?
32. Se auditan los sistemas en operacin?
33. Una vez efectuadas las modificaciones, se presentan las pruebas a
los interesados?
34. Existe control estricto en las modificaciones?
el
X
X
X
X
X
X
X
SI
NO
X
X
N/A
incluyendo
un
estudio
costo-
beneficio?
2. Existe un comit que coordine y se
responsabilice de todo el proceso de adquisicin e
instalacin?
3. Han elaborado un instructivo con procedimientos
a seguir para la seleccin y adquisicin de
equipos, programas y servicios computacionales?
4. se cuenta con software de oficina?
5. Se han efectuado las acciones necesarias para una
mayor participacin de proveedores?
S
I
N
O
N
/
A
6. Se ha asegurado un respaldo de mantenimiento
y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las
seguridades necesarias para reservar el ingreso
al personal autorizado?
8. Se han implantado claves o password para
garantizar operacin de consola y equipo central
procesos
realizados, dejando
procesos?
11. Los
operadores
del
equipo central
estn
bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,
SI
16. Se han instalado equipos que protejan la
informacin y los dispositivos en caso de variacin
de
voltaje
como:
reguladores
de
voltaje,
NO
N/A
PREGUNTAS - A. BASE DE
DATOS
SI NO
1. Existe equipos o software de SGBD
2. La organizacin tiene un sistema de gestin de base
de datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos
se realizan de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el
Sistema Operativo
7. La interfaz que existe entre el SGBD y el SO es el
adecuado
8. Existen procedimientos formales para la operacin del
SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos
es Anual ?
11. Son suficientemente claras las operaciones que realiza la
BD?
12. Existe un control que asegure la justificacin de los
procesos en el computador? (Que los procesos que estn
autorizados tengan una razn de ser procesados)
13. Se procesa las operaciones dentro del departamento de
cmputo?
14. Se verifican con frecuencia la validez de los inventarios de
los archivos magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos
almacenamiento, cuando se desechan estos?
de
N/A
SI NO
N/A
PREGUNTAS A. DE REDES
SI
organizacin
3. La gerencia de redes tiene un plan que permite modificar en
teniendo
en cuenta
los
posibles
cambios
tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a
NO
N/A
SI
6. Existe un plan de infraestructura de redes?
7. El plan de compras de hardware y software para el sector
redes est de acuerdo con el plan de infraestructura
de redes?
8.
NO
N/A